Прескочи към основното съдържание
Вход / Регистрация

Кибер(не)сигурност за милиони

До момента правителството не е изпълнило собствените си разпоредби за киберзащита

13 коментара
Кибер(не)сигурност за милиони

Скандалът с хакерската атака срещу НАП, при която изтекоха личните данни на 5 млн. българи, засега се върти основно около разкритието на прокуратурата, че това е дело на фирмата за киберсигурност "ТАД Груп", която се занимавала с киберрекет. В цялата суматоха около първия предполагаем случай на кибертероризъм в България (каквито обвинения отправи прокуратурата) на най-заден план остана онова, от което всъщност тръгна цялата история.

"Правителството ви е бавноразвиващо се. Киберсигурността ви е пародийна", гласеше мейлът, изпратен до редакции на български медии с линк към източените данни от Националната агенция по приходите (НАП), която дори не бе разбрала какво ѝ се е случило.

Разбира се, че е важен въпросът дали някой, който смята да злоупотребява с тези данни, би предупредил, че разполага с тях, или целта е била дестабилизиране на правителството. Но не по-малко важен е въпросът как въобще е била защитена ключова институция като НАП, на която реално се крепи държавният бюджет, а от там и функционирането на правителството и държавата като цяло.

Фактът, че кибератаки стават навсякъде, не е кой знае колко голяма утеха, нито пък оправдание за несвършена работа. Защото едно е да си направил всичко възможно да предотвратиш подобни опити, а друго е да съчиниш обяснението, което даде финансовият министър Владислав Горанов: "Ако си оставите колата отключена, това не ви прави виновен, ако някой ви я открадне".

По 5 млн. лв. годишно за киберзащита

Отговорна за защитата на действащите информационни системи на администрациите в България е Държавна агенция "Електронно управление" (ДАЕУ), създадена със закон в края на 2016 г. Тя се занимава с развитието и поддръжката на техническата инфраструктура, информационните центрове и комуникационната мрежа на администрацията. За тези си дейности агенцията е изхарчила над 10 млн. лв. от държавния бюджет през 2017 и 2018 г., сочат данни, предоставени от Министерския съвет на Mediapool.

Какви средства са отивали за киберсигурност в държавата преди създаването на ДАЕУ, никой не е следил през годините. Причината е, че тези разходи не са били отделени от останалите текущи и капиталови разходи на администрациите и не са били следени отделно, обясниха от Министерския съвет.

Съвсем отделно обаче са парите, които всяка администрация и община влагат за разработване, внедряване, поддръжка и надграждане на системите си за мрежова и информационна сигурност. Каква е общата сума на национално ниво трудно може да се обобщи, тъй като става въпрос за хиляди обществени поръчки, обявявани през годините, част от които по специален режим, тъй като изпълнителните им трябва да имат одобрен достъп до класифицирана информация от Държавната агенция "Национална сигурност" и Държавната комисия за сигурност на информацията.

Пробивът в НАП вероятно ще доведе до въвеждане на нови мерки за сигурност, което означава нови разходи.

Нови мерки и разходи срещу хакерски атаки

След хакването на НАП всички държавни и общински институции са получили указания от ДАЕУ да повишат нивото на мрежовата и информационната сигурност. Всяка администрация има срок до края на август да изготви план с необходимите мерки и тяхното прилагане да бъде остойностено. След което ще се извърши анализ и ще се прецени дали да се искат допълнително средства от бюджета за засилване на киберсигурността и какъв да е техният размер, казаха от агенцията пред Mediapool.

Успешната хакерска атака срещу НАП практически разкри не само слабостите в системата за киберсигурност на НАП, но и че държавните пари за защита от хакерски атаки се харчат със съмнителен ефект.

Предстои да се види дали и как случаят с НАП ще спомогне за повишаване на защитата на електронните административни системи – все пак правителството афишира,че смята да продължава да развива електронното публично управление. За целта обаче трябва да върне доверието на хората, предоставящи цялата информация за себе си при онлайн комуникацията с институциите.

"Когато говорим за киберсигурност, трябва да се има предвид, че се касае за прилагане на комплекс от мерки и действия за защита на киберпространството от заплахи, свързани с независимите мрежи и информационна инфраструктура на държавата, които могат да нарушат работата им", посочват от Министерския съвет.

Все още сигурност на теория и на хартия

В същото време обаче правителството не се е разбързало особено в прилагането на собствените си разпоредби за киберсигурност. В края на октомври 2018 г. бе приет Закон за киберсигурност, регламентиращ как администрациите да организират киберзащитата си и да противодействат на киберпрестъпността. Два месеца след публикуването на закона, което става в началото на ноември 2018 г., трябваше да се приеме методика за определяне на оператори за съществени услуги за киберзащита, след още три месеца да се определят тези оператори, които може да са както частни, така и държавни фирми, и те да влязат в регистър, воден от ДАЕУ.

Към момента такъв липсва на сайта на агенцията. В същото време при срок за изготвяне шест месец след обнародването на закона, едва миналия петък – 26 юли, е публикувана наредба на Министерския съвет с мерките за киберсигурност, регламентираща действията на администрациите за защита от хакери, зловреден софтуер, криптиране на данни и резервиране и архивиране на информацията.

Изискваният по закон Съвет за киберсигурност към МС все още не е сформиран, стана ясно от отговори на Държавната агенция "Електронно управление" до Mediapool. Той трябва да се ръководи от определен от премиера вицепремиер и да подпомага правителството в  управлението и организацията на системата за киберсигурност. Според ДАЕУ предстои създаването на този съвет, чийто членове ще бъдат министрите на вътрешните работи, на отбраната, на външните работи, на финансите, на транспорта, на енергетиката, на здравеопазването, на околната среда, както и шефовете на държавните агенции "Национална сигурност“ и "Разузнаване“. Кога ще стане това, не е ясно.

Няма също така публична информация страната ни да е подхванала проекти по киберотбрана, каквато възможност има по линията на членството си в НАТО и ЕС.

Законът за киберсигурност предвижда страната да информира ЕС и НАТО за пробиви като този в НАП и да търси тяхната помощ.

Още на 16 юли, в първия ден след новината за хакерската атака, докато властите все още бяха сигурни, че тя е дошла отвън (мейлът на хакерите бе изпратен от руски сървър), бе съобщено, че България е поискала помощ от ЕК. В следващите дни Европейският център за киберсигурност в Гърция и службата на еврокомисаря по цифровизацията Мария Габриел ще са изцяло на разположение на България, за да помогнат, каза тогава министър Горанов.

Каква помощ е поискана и каква е оказана, засега не се съобщава.

ИТ заплатите в администрацията съвсем не са ниски

Любопитен момент е, че хакването на НАП почти съвпада със смяната на вицепремиера, който отговаря за киберсигурността. Преди това беше Томислав Дончев, а сега е Марияна Николова от квотата на "Обединени патриоти", която замени на поста Валери Симеонов.

Въпреки това Дончев е този, който коментира хакерската атака срещу НАП пред медиите. Николова се отчете само с проведена във вторник среща с бизнеса, на която обсъдили подобряването на мрежовата и информационна сигурност на административните органи и подобряване на защитата на данните, които те използват и съхраняват. Според съобщението на МС тя ги запознала с приемането на наредбата с мерките за киберсигурност и обещала по-голяма оперативност в диалога с частния ИТ сектор по отношение на електронното управление.

Третият вицепремиер - Екатерина Захариева - също се включи с коментар по темата. Тя се оплака, че почти никой не се явява на конкурсите за киберсигурност в държавната администрация. Захариева информира, че на Съвета по сигурността в МС, свикан спешно от премиера след кибератаката в НАП, било обсъдено да се повишат заплатите на държавните ИТ специалисти, за да се привличат най-добрите експерти.

Заплатите на ИТ специалистите в държавната администрация обаче не са чак толкова ниски, става ясно от данните на Министерския съвет.

Размерът им достига 3500-4200 лв., съгласно приетите през януари 2019 г. промени в Наредбата за заплатите на служителите в държавната администрация, позволяващи възнагражденията на ведомствените ИТ специалисти да надвишават с до 60 процента максималния размер на заплатите за други длъжности от същото ниво.

Правителството е преценило, че така заплатите за държавните ИТ експерти ще се доближат до нивата на заплащане в частния сектор. Според Националния статистически институт средната заплата в сектора "създаване и разпространение на информация и комуникации", където влизат и ИТ експертите, е била 3087 лв. през месец март 2019 г.

Така че не е съвсем сигурно, че ниските заплати отблъскват ИТ специалистите от публичния сектор. В същото време администрацията харчи сериозни средства за договори с частни фирми за допълнителна защита от хакери и зловредни софтуери.

подкрепете ни

За честна и независима журналистика

Ще се радваме, ако ни подкрепите, за да може и занапред да разчитате на независима, професионална и честна информационно - аналитична медия.

13 коментара

Екипът на Mediapool Ви уведомява, че администраторите на форума ще премахват всички мнения, съдържащи нецензурни квалификации, обиди на расова, етническа или верска основа.

Редакцията не носи отговорност за мненията, качени в Mediapool.bg от потребителите.

Коментирането под статии изисква потребителят да спазва правилата за участие във форумите на Mediapool.bg

Прочетете нашите правила за участие във форумите.

За да коментирате, трябва да влезете в профила си. Ако нямате профил, можете да се регистрирате.



  1. Естествено
    #13
    Отговор на коментар #8

    Аз, такова, много не ги разбирам тези работи, ама ми се струва, че защитата е комплекс от мерки. Можеш да си защитаваш сървърите колкото си искаш, но нали там (върху тези сървъри) работят някакви системи. Та си мисля, че мерките за защита би трябвало да започват с проектирането на тези системи. Е, в условията на висока мрежова сигурност де. И политики за сигурност. И управление на рисковете преди това. Абе сложно е. Има едни хора IT Security Officers, които май се занимават с това на управленска ниво. Ама те по принцип не говорят. А би било интересно какво биха казали. Ама май и никой не ги е питал де. Или ги е питал. ☺

  2. Илиев Пешо
    #12
    Отговор на коментар #1

    Мони, я прегледай какво си писал, когато Русия блокираше телеграм. А сега твърдиш че са се договорили? И кажи как стоят нещата с меседжъра на фейсбук, вайбър

  3. P15Petar
    #11

    Дали хакерската атака не е отвън (от чужда държава)?

  4. Dino
    #10

    киберсигурност

  5. Dino
    #9

    Киберсигурност от www.genaport.com/bg може да помогне на държавните й частни компании

  6. анита хегерланд
    #8

    Никаква защита не може да се осигури отдолу, в организацията, фирмата или лицето. Истинска защита на данните може да се постигне само в сървърите, откъдето хакерите получават достъп. Ситуацията прилича на това, да си заключите вратата, но да си оставите отворен прозореца...

  7. [email protected]
    #7

    Значи много интересно.Когато хакери пробият в чужбина,никой оставки не подава,а и никой не търси оставки.А се търси хакера и ли компанията направила хакерската атака.Както и че се осъждат тези лица.И не било успокоително че хакерите пробиват мрежи в цял свят,важното било че пробили нашата,а виновни служители и служби нямало?!?!?
    Но в България,започваме да искаме оставки,на този или онзи,а на обявените за хакерите пробили системата,някой медии веднага обявяват за невинни,и жертви на държавата.
    А забелязахте

  8. 30 години едно и също! Всичко е скъпо, а НИЩО не струва! И става все по-скъпоза СЪЩОТО!Здравеопазване, образование, правосъдие, пътища. Киберсигурност, Хеликоптери-Кугър. Самолети Спартан. По същия начин на трупчета ще бъдат и Ф16. Всичко се прави за едното усвoяване! УС ВО Я ВА НЕ! Щом се направи некачествено-без значение дали ремонт на път,или кибер защита, ще се усвояват пари ПАК! 30 години демокрация, 30 години усвояване! Но сме в ЕС, НАТО, имаме гей паради и купуваме Ф16. Свиневъдството отива при 1-4 блок и цялата индустрия. ЕС разпоредбите го дават курбан! Сатанисти от всички странi, унищожавйте и усвоявайте!

  9. Емил Станоев
    #5

    Такаа !! Пръскачките пред Народното Събрание ще бутнат управлението !! Супер ? Ако знаех щях да ги хакна преди година !! Явно е че Прокуратурата в България е достойна да участва в някой от спектаклите на " Театър "Сълза и Смях ". - директора на театъра да се самосезира и да изготви план..

  10. Petrihno
    #4

    Аман от пишман журналисти, чели-недочели, вечно недоразбрали, важното е да има провокация! Къде я видяхте тази средна заплата от 3000 лева на държавна IT позиция? Може би 2-3 шефове на големи отдели се доближават до такива числа! Средната заплата е около 1200 брутно, а масово има и под 1000, специално в НАП. Айде да не показваме фишове...

Препоръчано от редакцията

подкрепете ни

За честна и независима журналистика

Ще се радваме, ако ни подкрепите, за да може и занапред да разчитате на независима, професионална и честна информационно - аналитична медия.